Security+ 学习笔记32 云安全控制
一、云端防火墙(Cloud firewall)
在基础设施即服务环境中,网络安全组取代了防火墙的位置,就客户而言,对网络进行分割。网络安全组在OSI模型的网络的会话和传输层工作,就像传统防火墙一样。
云服务提供商肯定会实施和维护防火墙作为其网络安全计划的一部分,但他们不能将这些防火墙直接暴露给客户。如果他们这样做了,隔离就会受到损害,因为用户可能会编写防火墙规则,影响属于其他用户的系统或破坏整个环境的安全。相反,云服务提供商为用户提供了创建网络安全组(Network security groups) 的能力。这些组类似于防火墙规则,它们允许用户控制从互联网传到自己的虚拟化系统的流量,甚至是在虚拟化环境中运行的系统之间的流量。维护网络安全组是客户的责任,但这些安全组通常是免费提供的。当我们通过共同责任模式工作时,应该确保我们建立和维护对云服务器实例的合理的访问。
二、云端应用程序安全(Cloud application security)
构建安全的云应用需要整合许多不同的安全、基础设施、平台和应用服务。这种整合工作是任何云安全工程师面临的主要挑战。在现实中,构建安全云解决方案的工作与网络安全专业人员多年来在企业内部环境中所做的工作明显相似。我们必须遵循这些环境中使用的一些相同的标准做法,并将其应用于云中。有时这涉及到使用相同的控制措施,而其他时候则需要将传统的控制措施映射到云端的具体对应措施。让我们来看看几个例子:
- 网络防火墙在各种规模的网络的外围保护中发挥着重要作用。在企业内部部署中,我们通常会购买一个硬件防火墙,并将其置于网络和互联网之间的边界。在云环境中,我们实际上没有购买硬件防火墙,但我们确实需要使用云供应商提供的服务来部署类似的控制。云环境中安全组的作用与控制我们服务器流量的防火墙相同。
- 在企业内部,我们经常使用加密技术来保护网络上传输的数据。我们通过实施传输层安全或TLS来做到这一点。我们在内部数据中心建立的同样的TLS控制,也可以在云环境中使用。事实上,云服务提供商经常通过自动管理数字证书来使我们更容易实施TLS。
- 我们也使用密码学来保护没有使用时的数据。在企业内部,我们可能会部署全磁盘加密软件,以保护我们的硬盘内容,如果它们丢失或被盗。在云环境中,这对我们来说就变得简单多了。加密磁盘通常只需要在设置页面上勾选一个复选框,自动将加密技术部署到虚拟化的磁盘上。
- 应用虚拟化(Application Virtualization) 是另一种安全控制,我们可以在企业内部和云环境中部署。它减少了用户在自己的设备上访问数据的需要。在非企业单位环境中,我们需要建立自己的应用虚拟化环境,而在云中,我们通常可以利用供应商提供的应用虚拟化服务,避免设计、建立和实施自己的解决方案的工作。
- 下一代安全网络网关( Next generation secure web gateways) 在应用安全方面也发挥着重要作用,作为网络用户的代理,允许他们安全地上网。网关作为用户和网络服务器之间的中间人,过滤请求并阻止恶意活动。
我们还需要通过映射安全控制来构建云中的安全解决方案。在任何网络安全工作中,我们应该遵循的核心原则是纵深防御(defense in depth)。这个原则告诉我们,我们应该建立一套重叠的安全控制,以实现相同的目标。这样一来,如果一个控制措施失败了,其他的控制措施就会随时准备填补这个空白。
三、云提供商的安全控制(Cloud provider security controls)
当我们在云中实施安全控制时,必须做出决定,是否愿意采用云原生(Cloud-Native)安全控制、第三方解决方案,或两者的结合。由我们的云供应商提供的安全控制措施的优点是专门为该云供应商的环境设计的。它们可能会很容易使用,并与我们的云平台紧密结合。然而,这种紧密集成也是它们的缺点。第三方安全控制仍然经常通过他们的API与云供应商整合,但他们提供了跨多个云平台工作的好处。如果我们在一个多云环境中,可能更喜欢第三方控制,而不是供应商的特定控制。然而,我们应该知道,第三方控制往往比云供应商提供的控制更昂贵。
资源策略(Resource policy) 是一项重要的控制措施,我们应该利用每个云提供商的本来能力来实施。这些策略对可以直接访问我们的云环境的用户可能采取的行动进行限制。例如,资源策略可以限制用户可以终止云实例,控制每个账户的支出水平,或限制用户使用云提供商产品中的特定服务。资源政策可以帮助我们防止错误,减少内部恶意攻击的风险,并实施财务控制。
中转网关(Transit geteway) 对于在混合云环境中运行的组织来说是一个重要的控制手段,因为他们有一些业务在云中,而另一些业务在驻地数据中心。中转网关在云中运行的VPC和本地网络的VLANS之间建立安全连接。我们可以把它们看作是提供强加密连接的云路由器。
秘密管理(Secret Management)工具,如云硬件安全模块(Cloud hardware security modules),允许我们以允许我们和我们的应用程序访问加密密钥和其他敏感凭据的方式存储加密密钥和其他敏感凭据,但使它们免受窥探,无论窥探者是在我们的组织中还是在云提供商处。秘密管理解决方案可能相当昂贵,但它们是保护帐户安全的有效方法。
整理资料来源:
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601
Security+ 学习笔记32 云安全控制相关推荐
- 【OpenGL学习笔记⑧】——键盘控制正方体+光源【冯氏光照模型 光照原理 环境光照+漫反射光照+镜面光照】
✅ 重点参考了 LearnOpenGL CN 的内容,但大部分知识内容,小编已作改写,以方便读者理解. 文章目录 零. 成果预览图 一. 光照原理与投光物的配置 1.1 光照原理 1.2 投光物 二. ...
- Unity学习笔记1-键盘控制开关灯(Point Light)
Unity学习笔记1-键盘控制开关灯(Point Light) 实现开关灯用键盘上的两个按键控制,效果如下所示 1-创建材质球(Material):HighLight和OffLight **: )Li ...
- Unity学习笔记--赛车的控制代码
Unity学习笔记–赛车的控制代码 using System.Collections; using System.Collections.Generic; using UnityEngine;publ ...
- MSP432E401Y学习笔记2-按键控制_查询
MSP432E401Y学习笔记2-按键控制_查询 前言 一.原理图查看需要控制的IO 二.写代码 1.将点灯的工程拷贝一份 2.配置LED 2.mian文件 前言 今天通过按键控制LED灯的亮灭,按键 ...
- 嵌入式学习笔记——寄存器实现控制LED小灯
文章目录 前言 GPIO通用输出模式 初始化LED小灯的GPIO 原理图 初始化代码 初始化的效果 功能函数封装 直接分开宏定义两个 使用条件运算符 封装函数实现简单的功能 KEIL MDK一些技巧 ...
- 立创梁山派学习笔记——GPIO输出控制
梁山派 前言 开发板简介 GD32F407ZGT6官方资源 数据手册 1.系统框图 2. 引脚复用表 3.命名规则 4.其他 用户手册 固件库与PACK包 开发环境搭建 立创官方的资料包 资料齐活,开 ...
- 影像组学视频学习笔记(32)-使用SimpleITK进行N4偏置场校正、Li‘s have a solution and plan.
作者:北欧森林 链接:https://www.jianshu.com/p/ae0f502dc146 来源:简书,已获授权转载 RadiomicsWorld.com "影像组学世界" ...
- 狂神说学习笔记 Java流程控制
目录 Java流程控制 1.用户交互Scanner Scanner对象 next() nextLine(): 2.顺序结构 3.选择结构 4.循环结构 5.Break & Continue 6 ...
- 冰冰学习笔记:进程控制
欢迎各位大佬光临本文章!!! 还请各位大佬提出宝贵的意见,如发现文章错误请联系冰冰,冰冰一定会虚心接受,及时改正. 本系列文章为冰冰学习编程的学习笔记,如果对您也有帮助,还请各位大佬.帅哥.美女点点支 ...
- 学习笔记7--车辆控制平台
本系列博客包括6个专栏,分别为:<自动驾驶技术概览>.<自动驾驶汽车平台技术基础>.<自动驾驶汽车定位技术>.<自动驾驶汽车环境感知>.<自动驾驶 ...
最新文章
- Linux网络监控工具--netstat及网络连接分析
- C语言经典例73-反向输出一个链表
- 微信小程序中嵌套html_微信小程序:web-view嵌套H5实现微信支付功能解决方案及填坑...
- git简明教程:基本操作命令
- 一位做了5年Java开发的读者,跟我说面试题都不会答···
- android 广告close,小程序广告弹出与关闭
- Linux命令(20)linux服务器之间复制文件和目录
- Gym101237C The Palindrome Extraction Manacher、SAM、倍增
- 使用 ASP.NET 2.0 ObjectDataSource 控件(整理自msdn)
- 一个企图用代码偷懒计算测量学闭合导线各项数据的屑是否有错
- 移动通信技术的未来发展趋势分析
- SyncToy -- 微软同步工具
- java将ppt转换成图片,图片以幻灯片的备注命名
- osm数据导入mysql_利用OpenStreetMap(OSM)数据搭建一个地图服务
- Python-定时爬取指定城市天气(一)-发送给关心的微信好友
- python编程大数据_学习Python编程挨着大数据什么事
- 计算机考试word文档怎么画坐标,使用WORD画坐标系的方法
- javax.net.ssl.SSLException 两种解决方法 链接https接口
- 嵌入式Linux系统移植的四大步骤
- 新硬盘怎么装系统分区?